TLS & ACME
Fluxheim peut servir TLS avec des certificats statiques ou gérer des certificats ACME pour vous.
Certificats gérés
[[vhosts]]
name = "site"
hosts = ["example.com"]
[vhosts.tls]
acme = true
email = "admin@example.com"
storage = "/var/lib/fluxheim/acme"Choix TLS
| Choix | Utilisez-le quand |
|---|---|
rustls | Vous voulez le chemin TLS memory-safe normal. |
openssl | Vous avez besoin d'une limite de fournisseur OpenSSL. |
modern | Seuls les clients TLS modernes doivent se connecter. |
intermediate | Vous voulez le profil de compatibilite de production par defaut. |
compat | Vous devez garder explicitement la compatibilite TLS 1.2. |
Exemple de certificat statique
[server]
tls_listen = ["0.0.0.0:8443"]
[[vhosts]]
name = "site"
hosts = ["example.com"]
[vhosts.tls]
cert_path = "/etc/fluxheim/tls/fullchain.pem"
key_path = "/etc/fluxheim/tls/privkey.pem"Avant d'activer ACME
- Assurez-vous que le DNS public pointe vers ce serveur.
- Autorisez le trafic de challenge HTTP-01 ou TLS-ALPN-01.
- Montez l'état ACME comme stockage persistant inscriptible.
- Utilisez des certificats emis en externe pour les limites strictes FIPS ou ISO.